省用户413省分单点登陆系统邮件公文处理经营分析其它系统CDSSO2省分LDAPCDSSO集中应用系统单点登陆系统4省分门户系统集中应用集中应用集中应用全国LDAP 图6-2 集中应用系统接入各门户系统的单点登录示意图
用户在省分门户系统中访问集中应用系统的步骤如下:
1. 用户通过访问本省的“省分单点登陆系统”访问省分门户系统,实现省分门户系统
内的单点登陆。
2. 通过省分门户系统中的特殊连接访问集中应用系统,当用户请求在省分门户和集中
应用之间转发时,用户身份的确认也是通过两个单点登陆平台的CDSSO模块来实现的。
3. 当用户信息从“省分单点登陆系统”的CDSSO模块传递到“集中应用系统单点登陆
系统”的CDSSO模块后,“集中应用系统单点登陆系统”的CDSSO模块会根据用户的相关信息来映射到本地的用户账号。
4. 在映射到本地用户账号后,也完成了到集中应用系统的单点登陆的功能。这种单点
登陆功能的实现和门户系统内的单点登陆功能的实现是一样的。
17
6.3 跨门户访问的单点登录
总部用户13总部单点登陆系统邮件公文处理经营分析其他系统CDSSO2总部LDAP4CDSSO邮件公文处理经营分析其他系统省分单点登陆系统省分门户系统 总部门户系统省分LDAP 图6-3 跨门户访问的单点登录示意图
跨门户访问的步骤如图6-3所示:
1. 用户登陆到总部单点登陆系统,可以访问总部门户系统中的所有资源。
2. 通过门户系统中的特殊连接访问省分单点登陆系统,当用户请求在总部门户和省分
门户系统之间转发时,用户身份的确认也是通过两个单点登陆平台的CDSSO模块来实现的。
3. 当用户信息从总部单点登陆系统的CDSSO模块传递到省分单点登陆系统的CDSSO模
块后,省分单点登陆系统的CDSSO模块会根据用户的相关信息来映射到本地的用户账号。
4. 在映射到本地用户账号后,也完成了到省分门户系统的单点登陆的功能。这种单点
登陆功能的实现和门户系统内的单点登陆功能的实现是一样的。
18
6.4 CDSSO功能实现的技术细节
图6-4标准环境中用户认证的工作模式示意图
标准环境中用户认证的工作模式下,当接收到第一个用户请求时,WebSEAL意识到它并没有关于这个用户的信息,因此发出认证挑战。用户响应挑战后并且验证了用户信息,WebSEAL为该用户建立了身份凭证。这个凭证和用户对话期间的某些保持不变的特性相联系,在这个例子里是SSL的对话ID。当接收到该用户的下一个请求时,WebSEAL从其长期特性中识别出该用户,并且采用代表该用户的身份凭证,这样该用户就无需再次进行身份认证了。
图6-5 跨域环境中用户认证过程的第一个阶段工作模式示意图
跨域环境中必须找到WebSEAL服务器能够将一个用户的身份信息传递给另一个安全领域的方法。而且必须通过安全的方式这样保证这些信息无法被截取,无法被别有用心的人用来在新的安全领域中冒充该用户。
19
在不同安全域中的这种身份信息转移时两个阶段的过程。首先,用户在本地领域的网站上点击一个特殊的链接来触发对本地WebSEAL服务器的跨域单点登录请求。这一触发请求的格式如下:
https://abc.com/pkmscdsso?https://def.com/
作为对这一请求的回应,本地WebSEAL服务器创建并且加密一个包含本地用户信息的token。这个token和一个HTTP重定向请求一起发给用户浏览器。
https://def.com/?PD-ID=
用户浏览器接收到重定向请求后,它转向新的安全领域的WebSEAL服务器,将它的请求(包括加密的token)一起提交,这样就触发了CDSSO的第二阶段过程。
图6-6跨域环境中用户认证过程的第二个阶段工作模式示意图
跨域认证过程的第二个阶段,新的安全领域的WebSEAL服务器接收到一个触发其CDSSO功能的HTTP请求。它对该token进行解密(事先在两个安全域之间需要建立好共用的密钥),从而获得该用户的信息。
接收方的WebSEAL可以从HTTP请求中的referrer header里发现创建token的WebSEAL服务器的DNS域名,通过该域名它可以知道采用哪一个预先建立好的共用密钥来对token进行解密。同时这也意味着出发链接必须在一个静态页面中,它不可以在浏览器的地址栏里手工键入。
该用户的信息可能会先经过一个用户映射程序映射到本地用户,然后再新的安全领域里面为该用户创建身份凭证。接着如果普通的登录过程,WebSEAL再将这个新的用户凭证和用户与当前的SSL ID进行连接。
这样用户就在新的安全领域里面创建了身份凭证,并且与他们之间的SSL对话过程建立了链接关系,接下来用户就如同通过正常登录后一样继续访问新的安全领域中的各种资源。 7 网络组织
本部分将就IP、DNS、时钟同步、邮件域名等几个方面进行详细说明及明确具体的规范要求。
7.1 网络拓扑结构
20